CVE-2004-0063 (CNNVD-200402-054)

HIGH
中文标题:
nCipher payShield SPP库错误请求验证漏洞
英文标题:
The SPP_VerifyPVV function in nCipher payShield SPP library 1.3.12, 1.5.18 and 1.6.18 returns a Stat...
CVSS分数: 7.5
发布时间: 2004-09-01 04:00:00
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

PayShield HSM是nCipher开发的用于信用卡付费机制专用安全交易加速器。 PayShield SPP库存在漏洞,允许使用此库实现的应用程序验证有害的请求。 当一命令通过SPP库发送,库会查询它的HSMs以确保他们能应答和正确工作。当这个检查触发及成功,对起始命令的应答会一直是Status_OK,而不去理会HSM返回的状态代码。 虽然错误消息会打印在payShield日志中,但这个错误却没有和调用的函数进行交流。 此问题只存在于主机端库和主机端应用程序中。已经存在的payShield安装和密钥不会被破坏,还可以用于新的软件中。这个漏洞并且不泄露任何关于数据和密钥的信息,只导致错误的验证。 如果命令被处理,模块查询被触发时以往返回非0状态代码,这个状态可能会丢失。 如一个非法PIN验证尝试从HSM返回Status_VerifyFailed,但是库调用SPP_VerifyPVV()会返回Status_OK,而使PIN看起来是合法的。如果攻击者能对payShield应用程序进行唯一访问,可使用非法请求进行欺骗然后最终获得'OK'应答。

英文描述:

The SPP_VerifyPVV function in nCipher payShield SPP library 1.3.12, 1.5.18 and 1.6.18 returns a Status_OK value even if the HSM returns a different status code, which could cause applications to make incorrect security-critical decisions, e.g. by accepting an invalid PIN number.

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
ncipher payshield_spp_library 1.3.12 - - cpe:2.3:a:ncipher:payshield_spp_library:1.3.12:*:*:*:*:*:*:*
ncipher payshield_spp_library 1.5.18 - - cpe:2.3:a:ncipher:payshield_spp_library:1.5.18:*:*:*:*:*:*:*
ncipher payshield_spp_library 1.6.18 - - cpe:2.3:a:ncipher:payshield_spp_library:1.6.18:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
9422 vdb-entry
cve.org
访问
3537 vdb-entry
cve.org
访问
20040114 nCipher Advisory #8: payShield library may verify bad requests mailing-list
cve.org
访问
payshield-incorrect-request-verification(14832) vdb-entry
cve.org
访问
无标题 x_refsource_CONFIRM
cve.org
访问
CVSS评分详情
7.5
HIGH
CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS版本: 2.0
机密性
PARTIAL
完整性
PARTIAL
可用性
PARTIAL
时间信息
发布时间:
2004-09-01 04:00:00
修改时间:
2024-08-08 00:01:23
创建时间:
2025-11-11 15:32:20
更新时间:
2025-11-11 15:48:53
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2004-0063 2025-11-11 15:17:28 2025-11-11 07:32:20
NVD nvd_CVE-2004-0063 2025-11-11 14:50:54 2025-11-11 07:41:06
CNNVD cnnvd_CNNVD-200402-054 2025-11-11 15:08:43 2025-11-11 07:48:53
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:53
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-200402-054; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-200402-054
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:06
severity: SeverityLevel.MEDIUM → SeverityLevel.HIGH; cvss_score: 未提取 → 7.5; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:P/A:P; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 3; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
  • cvss_score: 未提取 -> 7.5
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 3
  • data_sources: ['cve'] -> ['cve', 'nvd']